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摘 要 : TriCaster 全 媒体 演播 室 子 系统 包 含 切 换 系 统 、 视 频 系统 、 虚 拟 演播 室 系 统 、 音 频 
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统 、 通 话 系统 、 录 像 系 统 、 同 步 


系 
系统 、 字 幕 系统 及 监视 系统 。 数 字 化 演播 室 系统 具有 高 集成 度 、 多 功能 、 智 能 化 、 灵 活性 高 等 特点 。 本 文 主要 介绍 该 轻 量 化 


演播 室 的 方案 、 功 能 特点 和 安全 设计 。 
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现代 数字 化 演播 室 系 统 ， 在 一 台 主 机 上 就 集成 了 切 
换 台 、 调 音 台 、 字 幕 机 、 多 通道 硬盘 录像 机 、 多 轨 人 硬盘 
录音 机 、 非 线性 编辑 、 虚 拟 演播 室 、 流 媒体 编码 、 大 屏 
互动 点 评 、 云 台 摄像 机 遥控 、 慢 动作 播放 等 演播 室 主 要 
设备 的 功能 ， 其 至 连 演播 室 周 边 设备 的 功能 也 可 以 集成 
进去 。 但是, 集成 度 的 提高 ,也 给 系统 安全 性 带 来 隐患 。 
1.TriCaster 演播 室 测 试 系统 的 连接 

传统 的 演播 室 系 统 ， 各 个 设备 之 间 依 靠 SDI 等 专用 
通信 协议 传输 数据 ， 在 配备 元 余 设备 后 ， 几 乎 不 可 能 出 
现 单个 设备 引发 整个 系统 骨 溃 的 情况 。 而 在 数字 化 演播 
室 中 ， 所 有 设备 都 通过 网 络 连接 在 一 起 ， 视 频 播 放 和 字 
幕 系 统 的 素材 大 多 需要 通过 移动 硬盘 或 u 盘 进入 系统 ， 
系统 的 许多 功能 也 要 求 必 须 接 人 互联 网 才能 使 用 ， 防 止 
病毒 传播 和 非法 进入 成 为 当前 安全 防范 重点 。 
1. 1TriCaster 演播 室 测 试 系统 的 连接 方式 

测试 系统 的 搭建 主要 为 了 评测 演播 室 系 统 与 非 编 系 
统 的 素材 交互 及 日 常 使 用 中 的 安全 配置 ， 在 保障 安全 的 
前 提 下 尽 可 能 多 地 实现 演播 室 系 统 的 功能 ， 特 别 是 与 互 
联网 的 交互 功能 。 在 系统 的 连接 方式 上 考虑 的 三 种 情况 
如 下 。 
1.1.1 高 度 隔离 的 方式 

演播 室 与 非 编 网 两 个 系统 完全 独立 ， 系 统 之 间 素 材 
的 交互 通过 非 编 网 已 有 的 网 闻 隔 离 传输 系统 进行 。 这 种 
连接 方式 的 优点 是 ， 两 个 系统 完全 隔离 ， 不 会 互相 产生 
影响 ， 现 有 的 系统 也 不 必 进 行 任何 更 改 。 缺 点 是 ， 新 建 
的 演播 室 系统 在 安全 上 需要 重新 设计 ， 素 材 的 导入 、 导 
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点 是 ， 素 材 的 导入 、 导 出 可 以 利用 非 编 网 的 现 有 设备 ， 
节目 录制 也 可 以 直接 写 到 非 编 网 的 素材 盘 上 ， 既 节省 投 
资 ， 也 提高 了 工作 效率 。 但 缺点 也 非常 明显 ， 非 编 和 演 
播 室 分 属 不 同 部 门 管理 ， 工 作协 调 不 易 ， 演 播 室 系统 某 
些 功能 必须 连接 互联 网 ， 存 在 安全 隐患 。 
1.1.3 相对 独立 的 连接 方式 

这 种 连接 方式 采用 折 中 的 办 法 ， 演 播 室 系统 与 非 编 
网 互联 时 ， 在 级 联 的 交换 机 端口 上 进行 限制 ， 通 过 ACL 
配置 ， 只 允许 指定 主机 通过 指定 端口 访问 非 编 网 的 存储 
节点 ， 拒 绝 所 有 其 他 的 连接 :， 再 使 用 组 策略 限制 主机 在 
存储 上 运行 程序 和 脚本 。 这 样 既 保 证 了 一 定 的 隔离 度 ， 
又 让 演播 室 系 统 可 以 直接 将 节目 写 入 非 编 网 的 素材 盘 ， 
提高 了 工作 效率 。 同 时 ， 演 播 室 需 要 的 素材 也 可 以 通过 
非 编 网 原 有 的 网 闸 隔离 传输 系统 导入 , 节省 了 设备 投入 。 
1. 2 测试 系统 概述 

测试 系统 使 用 了 TriCaster 410 作为 核心 ， 周 边 配 备 
了 外 接 的 字幕 机 、 录 制服 务 器 ， 以 及 一 台 连 接 互联 网 ， 
承担 互联 网 应 用 转发 的 服务 器 ， 这 台 服 务 器 同时 兼顾 
windows 补丁 分 发 和 网 络 版 杀毒 软件 的 升级 和 管理 。 所 有 
的 设备 通过 一 台 千 兆 交换 机 连接 在 一 起 。 因 为 测试 系统 
设备 较 少 ， 没 有 通过 域 进行 管理 ， 在 正式 部 署 时 应 建立 
演播 室 系统 的 域 环境 ， 使 管理 更 加 严格 、 方 便 、 灵 活 。 

在 测试 系统 中 , 为 了 提高 设备 的 使 用 率 和 工作 效率 ， 
选择 了 第 三 种 相对 独立 的 连接 方式 ， 演 播 室 系统 的 交换 
机 和 制作 网 的 交换 机 级 联 在 一 起 ， 让 演播 室 系 统 可 以 直 
接 读 取 非 编 制作 的 视频 ， 在 录制 节目 时 ， 演 播 室 本 地 录 
制 一 路 信号 ， 同 时 通过 网 络 将 另 一 路 信号 直接 录制 到 非 


出 必须 新 增 隔 离 传输 设备 ， 本 地 的 主 备 录制 系统 也 需要 


编 的 素材 盘 上 ， 既 实现 了 一 主 一 备 的 录制 ， 同 时 又 免除 


增加 设备 ， 设 备 投入 较 大 。 录 制 好 的 素材 需要 向 非 编 网 
导入 ， 工 作 效率 低 。 
1.1.2 两 个 系统 互相 融合 的 方式 

这 种 方式 将 演播 室 系统 放 入 非 编 网 内 ， 由 非 编 网 的 
域 进行 管理 ， 其 防 病毒 和 推送 补丁 由 非 编 网 负责 。 其 优 


了 向 非 编 网 迁移 素材 的 过 程 。 但 是 ,与 编辑 网 的 联通 对 
安全 防护 提出 了 更 高 的 要 求 。 
2. 系统 的 安全 设置 

在 整个 系统 的 安全 设置 中 ， 主 要 有 以 下 几 个 方面 : 
2. 1 病毒 防护 
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为 演播 室 系 统 的 安装 网 络 版 杀毒 软件 。 在 测试 系统 
中 使 用 了 免费 的 360 企业 版 杀毒 软件 ， 经 测试 ， 软 件 中 
的 集中 管理 和 升级 均 可 正常 使 用 。 软 件 中 还 包含 了 对 主 
机 光驱 、USB 存储 、1394 接口 等 外 挂 设备 的 管理 ， 可 以 
统一 禁止 各 个 主机 上 usb 存储 和 光驱 的 使 用 ， 而 不 影响 
键 鼠 等 非 存储 类 USB 设备 的 使 用 。 

禁止 将 U 盘 或 移动 硬盘 直接 连接 到 系统 内 的 计算 机 
上 。 在 演播 室 系 统 和 制作 网 络 连通 后 ， 需 要 上 传 的 素材 
文件 通过 制作 网 现 有 的 网 阅 上 传 系 统 ， 从 办 公 网 或 专用 
上 传 工作 站 导入 系统 内 ， 让 素材 可 以 通过 一 条 安全 的 通 
道 进入 系统 ， 避 人 免 病毒 通过 USB 存储 进入 系统 。 通 过 操 
作 系 统 的 组 策略 ， 禁 止 所 有 驱动 器 和 非 卷 设备 上 的 自动 
播放 功能 。 

在 互联 网 入口 配置 一 体 化 安全 网 关 UTM， 进 行 访问 
控制 、 病 毒 防护 、 防 网 络 攻 击 。 

2. 2 防止 非法 进入 

对 登录 用 户 进 行 限制 ， 防 止 未 授权 的 访问 。 所 有 计 
算 机 禁用 本 机 的 administrator 用 户 , 另外 建立 管理 员 账 户 ， 
由 演播 室 技 术 人 员 和 掌握， 并 定期 更 改 密码 。 建 立 权 限 受 
限 账户 ,通过 组 策略 设置 , 隐藏 本 机 盘 符 并 限制 用 户 访问 、 
屏蔽 右键 的 上 下 文 菜单 、 禁 止 用 户 访问 控制 面板 、 网 络 
等 关键 组 件 。 为 受 限 用 户 定制 桌面 ， 只 允许 运行 指定 的 
应 用 程序 。 

及 时 为 系统 内 的 计算 机 推送 安全 补丁 ， 安 全 补丁 不 
仅 可 以 堵 住 非法 进入 的 途径 ， 还 可 以 抑制 病毒 在 网 内 的 
传播 。 由 于 系统 内 的 设备 都 使 用 了 windows 10 操作 系统 ， 
补丁 分 发 服务 要 求 使 用 windows server 2012 以 上 的 服务 器 
版 操作 系统 中 集成 的 WSUS 服务 。 操 作 系统 安装 完成 后 ， 
启动 服务 器 管理 器 ， 选 择 添 加 角色 和 功能 \windows server 
更 新 服务 ， 系 统 会 同时 安装 其 他 一 些 WSUS 必须 功能 ， 
安装 成 功 后 还 要 进行 两 步 配 置 便 可 为 其 他 主机 推送 补丁 。 
(1) 编辑 组 策略 ， 进 入 计算 机 配置 \ 策 略 \ 管 理 模板 、 
windows 组 件 \windows updata\， 根 据 自 己 的 情况 配置 “本 
置 自动 更 新 ”, 并 在 “指定 Intranet Microsoft 更 新 服务 位 置 ” 
中 指定 自己 的 WSUS 服务 器 地 址 ; (2) 打开 WSUS 管理 
器 ， 配 置 好 WSUS 需要 更 新 的 产品 和 分 类 ， 指 定 同步 计 
划 和 补丁 审批 ， 之 后 便 可 以 开始 推送 补丁 。 

2. 3 操作 系统 加 固 

账户 方面 : 禁用 本 地 的 administrator 和 Guest 账户 ， 
另外 新 建 管理 员 账 户 使 用 。 进 入 组 策略 : 计算 机 配置 \ 
windows 设置 \ 安 全 设置 \ 账 户 策略 ， 配 置 密码 复杂 度 、 
使 用 期 限 等 策略 ， 配 置 账户 锁定 策略 。 进 入 安全 设置 \ 
本 地 策略 \ 安全 选项 ， 启 用 “网 络 访问 : 不 允许 SAM 帐 
户 和 共享 的 匿名 枚 举 ”，“ 网 络 访问 : 不 允许 存储 网 络 
身份 验证 的 密码 和 凭证 ”， 禁 用 “网 络 访问 ， 允许 匿名 
SID/ 名 称 转换 ”。 在 “交互 式 登录 中 ”， 启 用 “不 显示 
最 后 的 用 户 名 ”， 禁 用 “无 须 按 Ctrl+Alt+Del”。 如 果 和 需 
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要 使 用 来 宾 账 户 ， 配 置 “ 账 户 : 重 命 名 来 宾 账 户 ” 为 来 
宾 账户 改名 后 使 用 。 

限制 受 限 用 户 对 主机 的 操作 权限 : 进入 组 策略 用 户 
配置 \ 管 理 模板 \， 尽 可 能 限制 “桌面 ”和 ““ 开 始 ” 菜 
单 和 任务 栏 ” 中 的 项 目 ， 只 保留 用 户 必须 使 用 的 部 分 。 
在 “网 络 \ 网络 连接 ”中 ， 禁 止 用 户 对 网 络 属性 的 访问 和 
更 改 。 在 “控制 面板 ”中 禁止 用 户 访问 控制 面板 。 

在 “windows 组 件 \windows 资源 管理 器 ”中 , 启用 “ 删 
除 windows 资源 管理 器 的 上 下 文 菜单 ”可 以 禁止 在 系统 
"使 用 鼠标 右键 菜单 。 启 用 “隐藏 “我 的 电脑 ”中 这 些 
间 定 的 驱动 器 ”和 启用 “防止 从 “我 的 电脑 ”访问 驱动 
器 ”， 可 以 防止 用 户 访问 驱动 器 中 的 文件 ， 即 使 使 用 “ 运 
行 ”对 话 框 也 不 行 。 如 果 想 要 自己 定制 需要 隐藏 的 驱动 
器 盘 符 ， 需 要 修改 C: \Windows\PolicyDefinitions 目录 下 
的 WindowsExplorer.admx 和 C: \Windows\PolicyDefinitions\ 
zh-CN 目录 下 的 WindowsExplorer.adml 两 个 文件 ， 记 住 修 
改 前 做 好 备份 。 

在 连接 互联 网 的 服务 器 上 ， 最 好 关闭 系统 的 默认 共 
享 、 远 程 访问 注册 表 、 远 程 桌 面 等 项 目 ， 开 启 防 火 墙 ， 
关闭 不 必要 的 服务 和 端口 ， 启 用 系统 安全 审核 ， 并 经 常 
进行 检查 。 
2.4 对 人 员 的 安全 管理 

由 于 已 经 使 用 组 策略 对 受 限 用 户 的 操作 进行 限制 ， 
这 里 主要 要 求 技术 人 员 不 使 用 usb 存 储 、 不 连接 手机 充电 、 
不 在 系统 中 安装 无 关 程序 。 要 每 天 检查 系统 日 志 ， 审 核 
日 志 等 记录 ， 及 时 发 现 系 统 故 障 和 可 疑 的 连接 及 操作 。 
结语 

不 管 设置 怎么 严密 ， 只 要 有 了 系统 管理 员 的 账号 和 
密码 ， 就 对 整个 系统 有 了 完全 控制 的 权限 ， 所 以 , 一定 
要 保护 好 自己 的 系统 管理 员 的 账号 和 密码 。 
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